开源云原生安全的现状

近年来,人们非常重视软件供应链的安全。尤其令人担忧的是开源软件发行版中固有的风险越来越多。这引发了围绕云原生开源安全的大量开发,其形式包括软件物料清单 (SBOM)、旨在验证 OSS 包来源的项目等。

许多组织循环使用大型开源包,但只使用其中的一小部分功能,从而打开了不必要的攻击面。OSS 仍然容易出现拼写错误和新的零日漏洞。更不用说像 Log4j 这样的漏洞在很大比例的部署中仍然没有修补。

2023 年末,我们思考云原生开源安全的现状。收集了想法以及其他一些报告和专家观点,以描绘云原生供应链安全的现状以及在不久的将来的预期。

云原生OSS安全的最新进展

2023 年,我们看到云原生领域在安全方面取得了许多重大发展,特别是在保护供应链的标准方面。例如,根据 Sonatype 的第九届年度软件供应链状况, SBOM 使用的成熟度正在不断提高,53% 的接受调查的工程专业人士表示,他们正在为每个应用程序生成 SBOM 。

围绕Sigstore 签署软件工件以验证信任证明和来源的运动。SBOM 解决供应链中关键问题的趋势,SBOM 质量还有改进的空间。像 OpenVex 这样的新框架最终可以帮助使 SBOM 格式更加准确。

今年的进展更多地体现在‘第一步’阶段,即制定一些措施来解决签名和 SBOM,下一步我们会看到这些工具提供更高质量的安全输出。

最严重的 OSS 漏洞

在上述研究中,Sonatype 报告发现 245,000 个组件下载存在已知漏洞。令人印象深刻的是,其中 96% 都有可用的固定版本。他们还跟踪发现,四分之一的 Log4j 下载都是存在臭名昭著且高度可利用的 Log4Shell 漏洞的易受攻击版本。

域名仿冒仍然是向 OSS 软件组件插入恶意代码的主要方法,攻击者可以利用这些代码窃取密钥或在系统中创建后门。然而, 下一个趋势可能是不良行为者寻找方法向实际开源项目贡献恶意代码。明天复杂的攻击策略可能看起来像是无意的事故,比如为了“修复代码中的错误”而提交的代码实际上可能会导致漏洞利用。

鼓励 IT 领导者放眼全局。作为一个行业,我们需要开始关注如何更全面、更有效地解决漏洞问题。这涉及深入了解您的软件依赖性和风险管理基础设施以实现快速补丁。

生成式人工智能使云原生安全变得复杂

在过去的一年里,生成式人工智能在激烈的浪潮中崭露头角,带来了许多新的网络安全影响。数据科学工作流程处于早期发展阶段,容易出现安全缺陷。业界需要迅速认识到这是一个问题,并且需要采取制衡措施来验证人工智能/机器学习模型的可信度。

生成式人工智能有利于自动化云原生 DevOps、代码审查和特定的防御策略。然而,我们需要更好地了解这些模型所训练的数据以及这些模型的监管链,以避免人工智能数据模型中毒或篡改。

值得庆幸的是,我们看到了围绕 AI/ML 提高可见性和制定安全标准的势头。例如,领先的 SBOM 标准 CycloneDX 最近将描述机器学习模型的方法纳入其规范。新的 OWASP LLM 安全 Top 10 可以作为解决一些与 LLM 相关的关键威胁的指南。

缓解云原生供应链威胁的方法

使用 SBOM。SBOM 可以让您了解正在运行的软件以及在何处运行,这可以在您需要修补漏洞、了解许可风险或一般软件生命周期终止政策时提供帮助。

从第一天起就确保整个软件供应链的安全是一项挑战。因此,鼓励 IT 领导者从容易实现的目标开始,实施更具安全意识的实践,例如选择更安全的基础映像、用更成熟的组件替换不安全的 OSS 组件,以及在 CVE 出现时采用自动化方法将其删除。

缓解云原生供应链威胁的另一种方法是主动减少不必要或传递性依赖(可能存在漏洞)。建议使用最少的容器映像来减少总体表面积。由于您的软件中没有任何不必要的工具或组件,攻击者无法利用它为您的环境带来更多安全风险。

可观察性对于提供开发流程的全面监控和分析也至关重要,有助于识别异常情况和潜在的安全漏洞。重要的是,它有助于增强整个供应链的可见性,从源代码存储库到部署环境。这种透明度使团队能够跟踪代码流和依赖项,以识别任何意外的更改或未经授权的访问点。

最终目标:设计安全的软件

《2023 年软件供应链安全报告中的 CISO 和开发人员趋势》发现,不到一半的 CISO 认为他们的开发人员非常熟悉其开发工具和工作流程的安全风险。该报告还显示,大量组织报告了漏洞扫描误报疲劳。

鉴于这些发现,我们需要团队之间更多的认识和协作以及更准确和可操作的扫描。优先考虑快速更新和修补有助于消除这种疲劳。

到 2024 年,我们将看到更多‘第一步’进展,以实现整个行业更好的软件供应链安全实践。展望未来,预计人们将通过 SLSA 来源和更值得信赖的证明等策略,迈向更先进的状态,以确保供应链安全。

将责任推卸给拥有开源安全性的人已不再是一种选择,每个人都应该认真对待这一问题,并开始逐步减少今天可以做的事情,以达到拥有设计安全的软件的稳定状态。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/318573.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

NLP技术在搜索推荐场景中的应用

NLP技术在搜索推荐中的应用非常广泛,例如在搜索广告的CTR预估模型中,NLP技术可以从语义角度提取一些对CTR预测有效的信息;在搜索场景中,也经常需要使用NLP技术确定展现的物料与搜索query的相关性,过滤掉相关性较差的物…

设计模式——抽象工厂模式(Abstract Factory Pattern)

概述 抽象工厂模式的基本思想是将一些相关的产品组成一个“产品族”,由同一个工厂统一生产。在工厂方法模式中具体工厂负责生产具体的产品,每一个具体工厂对应一种具体产品,工厂方法具有唯一性,一般情况下,一个具体工厂…

YOLOv5改进 | 二次创新篇 | 结合iRMB和EMA形成全新的iEMA机制(全网独家创新)

一、本文介绍 本文给大家带来的改进机制是二次创新的机制,二次创新是我们发表论文中关键的一环,为什么这么说,从去年的三月份开始对于图像领域的论文发表其实是变难的了,在那之前大家可能搭搭积木的情况下就可以简单的发表一篇论文,但是从去年开始单纯的搭积木其实发表论…

第1课 ROS 系统介绍

1.ROS操作系统介绍 在学习ROS 系统前,我们需要先了解操作系统的定义。操作系统,顾名思义,即提供部分软件和硬件的接口,以供用户直接使用。因此,针对不同的平台、不同的功能,需要采用不同的操作系统来完成底…

Three.js 纹理贴图的实现

在线工具推荐: 3D数字孪生场景编辑器 - GLTF/GLB材质纹理编辑器 - 3D模型在线转换 - Three.js AI自动纹理开发包 - YOLO 虚幻合成数据生成器 - 三维模型预览图生成器 - 3D模型语义搜索引擎 纹理贴图简介 当我们创建一个网格时,比如我们不起眼的立…

大模型开启应用时代 数钉科技一锤定音

叮叮叮叮!数钉智造大模型,“定音”强势发布! 随着科技的飞速发展,大模型技术已逐渐成为推动产业变革的核心力量。在这一浪潮中,数钉科技凭借深厚的技术积累和敏锐的市场洞察力,成功利用大模型技术搭建起智能…

鸿蒙开发-UI-布局

鸿蒙开发-序言 鸿蒙开发-工具 鸿蒙开发-初体验 鸿蒙开发-运行机制 鸿蒙开发-运行机制-Stage模型 鸿蒙开发-UI 鸿蒙开发-UI-组件 鸿蒙开发-UI-组件-状态管理 鸿蒙开发-UI-应用-状态管理 鸿蒙开发-UI-渲染控制 文章目录 前言 一、布局概述 1.布局结构 2.布局元素组成 3.布局分类 …

场效应管在电路中如何控制电流大小

场效应管的概念 场效应晶体管(FieldEffectTransistor缩写(FET))简称场效应管。主要有两种类型(juncTIonFET—JFET)和金属-氧化物半导体场效应管(metal-oxidesemiconductorFET,简称M…

操作系统详解(5)——信号(Signal)

系列文章: 操作系统详解(1)——操作系统的作用 操作系统详解(2)——异常处理(Exception) 操作系统详解(3)——进程、并发和并行 操作系统详解(4)——进程控制(fork, waitpid, sleep, execve) 文章目录 概述信号的种类Hardware EventsSoftware Events 信号的原理信号…

YOLOv8改进 | 注意力篇 | 实现级联群体注意力机制CGAttention (全网首发)

一、本文介绍 本文给大家带来的改进机制是实现级联群体注意力机制CascadedGroupAttention,其主要思想为增强输入到注意力头的特征的多样性。与以前的自注意力不同,它为每个头提供不同的输入分割,并跨头级联输出特征。这种方法不仅减少了多头注意力中的计算冗余,而且通过增…

虚幻UE 特效-Niagara特效初识

虚幻的Niagara特效系统特别的强大,可以为开发者提供丰富的视觉效果! 本篇笔记对Niagara系统进行初步的学习探索 文章目录 前言一、Niagara四大核心组件二、粒子发射器和粒子系统1、粒子发射器的创建2、粒子系统的创建3、Niagara系统的使用 总结 前言 在…

【SSM框架】初识Spring

初识Spring Spring家族 Spring发展到今天已经形成了一种开发的生态圈,Spring提供了若千个项目,每个项目用于完成特定的功能 ✅Spring Framework(底层框架)Spring Boot(提高开发速度)Spring Cloud&#xf…

C# 图解教程 第5版 —— 第24章 预处理指令

文章目录 24.1 什么是预处理指令24.2 基本规则24.3 符号指令(#define、#undef )24.4 条件编译(#if、#else、#elif、#endif)24.5 条件编译结构24.6 诊断指令(#warning、#error)24.7 行号指令(#li…

最新域名群站开源系统:打造强大网站矩阵,引领SEO优化新潮流!

搭建步骤 第一步:安装PHP和MYSQL服务器环境 对于想要深入了解网站建设的人来说,自己动手安装PHP和MYSQL服务器环境是必不可少的步骤。这将使你能够更好地理解网站的运行机制,同时为后续的网站开发和优化打下坚实基础。 第二步:…

迅腾文化用网络集成化生态系统助力品牌之路的坚实后盾

商业竞争激烈,品牌不仅是企业的标志和形象,更是其核心价值和竞争力的体现。然而,企业在品牌推广过程中面临着诸多如缺乏有效的渠道管理、品牌形象模糊以及竞争激烈的市场环境等。这些阻碍着企业的品牌发展和市场占有率的提升。本文将通过企业…

[GN] nodejs16.13.0版本完美解决node-sass和sass-loader版本冲突问题

项目场景: npm install 运行vue项目时候 问题描述 项目场景:sass-loader ,node-sass出错 ! ERESOLVE unable to resolve dependency tree npm ERR! npm ERR! While resolving: smoore-mes-web1.4.0 npm ERR! Found: webpack3.12.0 npm ER…

【计算机组成原理】高速缓冲存储器 Cache 的写策略(Writing Policy)

写策略 Writing Policy 缓存的写策略指的是确定何时将数据写入缓存或主存的策略。 写命中 Write Hit 全写法 Write Through 在全写法策略中,每次发生写操作时都会将数据同时写入缓存和主存。这样可以保证数据的一致性,但会增加主存的写入操作&#xf…

ubuntu连接xshell怎么连接

在网上找了好多办法都不行 例如 太久没打开Ubuntu可能输入命令查不到IP地址,解决办法也比较简单,首先第一步 确定自己能不能进入管理员root权限(输入命令su),如果没有的话得重新配置,如下图 这是因为当前Ub…

黑马程序员JavaWeb开发|案例:tlias智能学习辅助系统(1)准备工作、部门管理

一、准备工作 1.明确需求 根据产品经理绘制的页面原型,对部门和员工进行相应的增删改查操作。 2.环境搭建 将使用相同配置的不同项目作为Module放入同一Project,以提高相同配置的复用性。 准备数据库表(dept, emp) 资料中包含…

[Linux 进程(三)] 进程优先级,进程间切换,main函数参数,环境变量

文章目录 1、进程优先级1.1 Linux下查看进程优先级1.2 Linux 进程优先级的修改PRI and NItop命令配合操作更改优先级 1.3 竞争 独立 并行 并发 2、进程间切换3、Linux2.6内核进程调度队列3.1 活跃进程3.2 过期进程 4 main函数参数 — 命令行参数4.1 利用main函数的参数实现一个…